APT41 kampány Délkelet-Ázsiában
A Symantec jelentése szerint Kínához köthető támadók kiterjedt kémkedési kampányt folytatnak Délkelet-Ázsiában, célba véve többek között minisztériumokat, légiforgalmi irányító szervezeteket, távközlési vállalatokat és médiaügynökségeket.
A kampány legalább 2023 októbere óta tart, és elsődleges célja az információgyűjtés. A támadók nyílt forráskódú és “living-off-the-land” eszközöket használnak, beleértve az Impacket-et a WMI-n keresztüli parancsvégrehajtáshoz, valamint keyloggereket, jelszógyűjtőket és fordított proxy eszközöket, mint a Rakshasa, Stowaway és ReverseSSH. A Bitdefender Crash Handler 2011-es verzióját például DLL sideloadinghoz használták, amely módszert korábban a kínai APT41 csoport is alkalmazott. Az alkalmazott eszközök között olyan eszközök szerepelnek, mint a Impacket, ami nyílt forráskódú modulok gyűjteménye, amelyeket hálózati protokollok kezelésére használnak, beleértve a távoli szolgáltatásvégrehajtást és a Windows hitelesítő adatok kinyerését, a Rakshasa, Stowaway, ReverseSSH, ami fordított proxy eszközök, amelyek lehetővé teszik a támadók számára a távoli hozzáférést és az adatforgalom irányítását a kompromittált rendszereken keresztül és a PlugX (Korplug), ami távoli hozzáférésű trójai program, amely további modulok letöltésére és végrehajtására képes, növelve a támadók képességeit az információgyűjtésben és más rosszindulatú tevékenységekben.
A támadók fejlett technikákat és eszközöket alkalmaznak, amelyek korábban kínai APT csoportokhoz voltak köthetők, jelezve a Kínából származó fenyegetések folyamatos jelenlétét a régióban. A célpontok sokfélesége és a használt eszközök összetettsége arra utal, hogy a kampány jól szervezett és jelentős erőforrásokkal rendelkezik.